Problemy z podatnościami w procesorach Intel się nie skończyły – od kilku dni wiemy już o wykryciu nowej, która może spowodować wycieki wrażliwych danych, jak: klucze użytkownika, hasła czy klucze szyfrowania dysku. Szczegóły w najnowszym przeglądzie.
1. Kolejne groźne podatności w procesorach Intela
Przeszło rok od ujawnienia wad Meltdown i Specter głośno jest o kolejnych istotnych lukach bezpieczeństwa ukrytych w kanałach bocznych spekulacyjnego wykonania (ang. speculative execution) kodu w procesorach Intela.
Najnowsza klasa podatności nazwana została Microarchitectural Data Sampling (MDS). W jej skład wchodzą cztery luki, które spowodować mogą wycieki wrażliwych danych z buforów procesora, takich jak: klucze użytkownika, hasła czy klucze szyfrowania dysku.
Na podatności te “chorują” układy wyprodukowane po 2011 roku. O ich niedomaganiach informowało niezależnie od siebie kilka grup ekspertów oraz badaczy. Zgłaszali oni swoje odkrycia Intelowi począwszy od czerwca 2018 roku. Producent prosił o zachowanie tej wiedzy w tajemnicy do czasu opracowania przez niego stosownych poprawek.
Wydana została już aktualizacja mikrokodu, której celem jest naprawienie luk MDS, zarówno w sprzęcie, jak i oprogramowaniu. Wraz z nią usunięto wszystkie dane z buforów, gdy procesor przekracza granicę bezpieczeństwa. Ma to zapobiec wyciekowi danych.
Dostawcy systemów operacyjnych, wirtualizacji oraz producenci oprogramowania powinni możliwie jak najszybciej wdrożyć te poprawki. Stosowne aktualizacje opracowane zostały już m.in.: przez Microsoft, Google czy twórców Linuksa i pojawiły się już w oficjalnej dystrybucji.
2. WhatsApp zhackowany
WhatsApp – jeden z najpopularniejszych komunikatorów internetowych, używany na co dzień przez 1,5 miliarda ludzi na świecie – poinformował o naruszeniu bezpieczeństwa swojej aplikacji.
Na początku maja inżynierowie WhatsAppa odkryli lukę, która pozwoliła nieznanym sprawcom wstrzyknąć na telefony spyware opracowany przez NSO Group. Izraelska firma znana jest z tworzenia technologii szpiegowskich na potrzeby rządów państw oraz organów ścigania gotowych zapłacić za posiadanie nowatorskich narzędzi kontroli i inwigilacji. Jednym z bardziej znanych jej produktów jest wzbudzający kontrowersje Pegasus, który pozwala na przejęcie kontroli nad mikrofonami i kamerami różnego rodzaju urządzeń.
Podatność komunikatora internetowego wykorzystać można było dzwoniąc na telefon użytkownika, przy czym nie miało znaczenia czy ofiara ataku odbierze rozmowę. Następnie połączenie mogło zostać wykasowane przez złośliwe oprogramowanie z rejestru połączeń.
Istnieje niepotwierdzone podejrzenie, że atak skierowany mógł być w członków grup zajmujących się prawami człowieka.
WhatsApp poinformował o naruszeniu Departament Sprawiedliwości Stanów Zjednoczonych. Firma, której włascicielem jest Facebook, prowadzi również własne dochodzenie w tej sprawie, a jej inżynierowie w ekspresowym tempie opracowali poprawkę zapobiegającą wykorzystaniu luki. WhatsApp zachęca wszystkich swoich użytkowników do zaktualizowania aplikacji.
3. 97 szkół sparaliżowanych atakiem ransomware
Oklahoma City Public Schools (OKCPS) to okręg zrzeszający 97 szkół podstawowych i średnich, do których uczęszcza blisko 50 tys. uczniów w liczącym 650 tys. mieszkańców Oklahoma City w Stanach Zjednoczonych. Okręg sparaliżowany został w dniu 13 maja 2019 roku atakiem szyfrującym, w wyniku którego sieć komputerowa OKCPS została wyłączona, a pracownicy poproszeni o niekorzystanie z poczty elektronicznej.
Do oszacowania strat i znalezienia sposobu rozwiązania problemu zatrudnieni zostali zewnętrzni eksperci. Rzecznik OKCPS poinformował, że przerwa w pracy sieci potrwać może nawet kilka dni.
Informacje na temat strat wywołanych atakiem, żądań cyberprzestępców oraz stanowiska władz okręgu na temat ewentualnego opłacenia okupu nie są na chwilę obecną znane.
4. Cyberprzestępcza grupa odpowiedzialna za GozNym rozbita
Współpraca organów ścigania z Niemiec, Bułgarii, Gruzji, Mołdawii, Ukrainy oraz Stanów Zjednoczonych doprowadziła do zlikwidowania zorganizowanej grupy hakerów odpowiedzialnej za stworzenie oraz dystrybucję złośliwego oprogramowania GozNym.
Grupa odpowiada za kradzież 100 milionów dolarów z przeszło 41 tys. zaatakowanych komputerów na całym świecie. Wśród ofiar dominowały instytucje finansowe, przedsiębiorstwa oraz osoby prywatne ze Stanów Zjednoczonych oraz Europy. Hakerzy infekowali komputery swoich ofiar złośliwym oprogramowaniem GozNym, przechwytywali dane uwierzytelniające do banków internetowych i wykradli z nich pieniądze. Skradzione środki wprowadzali do obrotu za pośrednictwem należących do nich kont bankowych w Stanach Zjednoczonych oraz kilku innych krajach.
Akt oskarżenia zawiera również inne przestępstwa takie jak oferowanie złośliwego oprogramowania, pranie brudnych pieniędzy, czy świadczenie usług wsparcia technicznego klientom z rosyjskojęzycznych przestępczych forów internetowych.
Pięciu członków grupy zostało aresztowanych w Bułgarii, Gruzji, Mołdawii oraz na Ukrainie. Na wolności pozostaje pięciu Rosjan zamieszanych w działalność ugrupowania.
5. Błąd w popularnej wtyczce WordPressa
WordPress Live Chat Support to oprogramowanie open source służące do prowadzenia konwersacji w formie czatu. Wtyczka zainstalowana została na przeszło 60 tys. stron internetowych. Wykryto w niej podatność cross-site-scripting, która wykorzystana może zostać do zdalnego, nie wymagającego uwierzytelnienia ataku na strony internetowe. Jego celem jest wstrzyknięcie złośliwego kodu, a w efekcie możliwość wykonania dowolnego kodu skryptowego w zainfekowanej przeglądarce przez przestępców. Skutkować to może kradzieżą cookies, podmianą zawartości strony www, uruchomieniem keyloggera lub hostowaniem złośliwego oprogramowania.
Brak konieczności uwierzytelniania sprawia, że hakerzy mogą zautomatyzować swoje ataki by razić nimi jak największą liczbę ofiar.
Administratorzy witryn korzystających z wtyczki WordPress Live Chat Support powinni możliwie jak najszybciej zaktualizować ją do najnowszej wersji 8.0.27. Czynność ta pozwoli załatać opisaną powyżej lukę bezpieczeństwa uodporniajac strony na potencjalne ataki cyberprzestępców.
6. Luka bezpieczeństwa w Titan Security Key
Titan Security Key to niewielkie urządzenie, wyglądem przypominające pendrive’a, które wykorzystywane jest do autoryzowania operacji wykonywanych w sieci.
Podatność wykryta została w protokole parowania tego klucza bezpieczeństwa i doprowadzić może do uzyskania przez cyberprzestępców dostępu do konta użytkownika. Wada ta dotyczy wersji klucza Bluetooth Low Energy (BLC). Wolne od niej są wersje Bluetooth korzystające z technologii NFC oraz z portu USB.
Odkryta luka naraża na ryzyko użytkownika w sytuacji, gdy atakujący znajduje się w odległości do 9 metrów od niego. W trakcie logowania do konta przy użyciu klucza należy go aktywować poprzez naciśnięcie umieszczonego na nim przycisku. Znajdujący się w pobliżu przestępca może uprzedzić użytkownika i sparować z jego urządzeniem swój klucz, co umożliwi mu dostęp do konta.
Gigant z Mountain View oferuje darmowe zamienniki dla kluczy BLC podatnych na to naruszenie. Jak sprawdzić, czy Titan Security Key kwalifikuje się do bezpłatnej wymiany? Na odwrocie, nad portem USB znajdują się oznaczenia. Jeżeli widnieje tam „T1” lub „T2” to znaczy, że należy go wymienić na nowy.
7. Skrypt kradnący dane o płatnościach kartami wykryty na stronie Forbes’a
Grupa Magecart, specjalizująca się w kradzieży informacji o płatnościach kartami, przypomniała o sobie wstrzykując swój złośliwy skrypt m.in. na stronę zakupu prenumeraty Forbes Magazine.
Złośliwy skrypt został już usunięty ze strony tego znanego, amerykańskiego dwutygodnika biznesowego. Wydawca zlecił to zewnętrznym ekspertom. Nieznane są jeszcze informacje na temat liczby osób, których dane o płatnościach zostały skradzione.
Forbes nie jest jedyną ofiarą grupy Magecart w ostatnim tygodniu. Złośliwe skrypty odkryte zostały między innymi na stronach: korporacyjnego systemu zarządzania treścią CloudCMS, firmy Picreel zajmującej się optymalizacją treści, dostawcy technologii analitycznych RyskIQ, czy w witrynach firm zajmujących się usługami marketingowymi AdMaxim, AppLixir oraz Growth Funnel.
8. Dane 8 milionów respondentów ankiet online dostępne w sieci
W minionym tygodniu odkryto w sieci niezabezpieczoną bazę danych firmy PathEvolution zajmującej się marketingiem internetowym. Znajdowały się w niej dane osobowe 8 milionów osób, które wypełniły ankiety online, wzięły udział w loteriach bądź wypełniły formularz uprawniający do otrzymania darmowych próbek produktów. Wśród zgromadzonych informacji znajdowały się: imiona, nazwiska, adresy zamieszkania, adresy mailowe, daty urodzenia, numery telefonów, adresy IP oraz linki do stron z których pochodziły przekazane informacje.
Badacze ds. bezpieczeństwa, którzy odkryli bazę, ustalili właściciela i poinformowali o niewłaściwych zabezpieczeniach danych. Informacje przekazano również do Amazona, na którego serwerach przechowywano bazę. Ostatecznie została ona zabezpieczona w dniu 11 maja 2019 roku.
Firma Ifficient, której spółką córką jest PathEvolution, wydała oświadczenie, że wszczęła wewnętrzne dochodzenie aby ustalić winnych tego zaniedbania oraz zobowiązała się do powiadomienia wszystkich osób, których dane mogły zostać ujawnione.